融合控制业务逻辑的电网应用层指令级检测方法与流程

本发明涉及网络安全检测，尤其涉及一种融合控制业务逻辑的电网应用层指令级检测方法。

背景技术：

1、目前，针对电网智能测控终端遭受到的攻击异常复杂：一是一旦设备受到攻击，将对电网安全稳定运行造成直接影响，这些攻击往往具有高危害性。二是与传统信息系统攻击检测相比，由于攻击的定制化发展趋势，电网智能终端的攻击识别更加需要深入分析终端内部的固件以及控制逻辑的运行状态，且同时要保证电网生产控制的高实时性要求。因此，亟需掌握电网智能终端的漏洞利用以及攻击方式，并研究针对电网智能终端网络攻击特有的攻击检测和识别技术，提升电网工控系统抵御高级的可持续性工控攻击的能力。

2、电网中遥测量、遥信量等主要业务特征码的特征值主要是离散变量，对于离散变量，正常值应为该变量取值范围内的某个离散值，异常数据属于离群点，因此可以将对常量和离散变量的异常数据检测转换为对离群点的检测。当前，针对离群点的检测算法主要基于统计、距离、密度以及聚类四类方法。工业环境中的数据分布难以进行统计分布建模并且呈现局部集中分布等特点，相比于基于统计、距离和密度的离群点检测算法，基于聚类的检测算法可以避免选择统计分布模型，充分考虑到数据的局部特性，并且聚类算法的时间和空间复杂度是线性或接近线性的，满足工控系统对实时性要求。

技术实现思路

1、本发明的目的在于提供一种融合控制业务逻辑的电网应用层指令级检测方法，针对电网应用层指令级检测，采用基于规则匹配的方法检测畸形报文和攻击报文，畸形报文规则根据协议规范进行设计，攻击报文特征库采用成熟的snort网络攻击规则库；针对业务特征值离散特点，提出一种基于聚类学习的异常检测技术，实现业务指令频次、业务特征码等异常识别。

2、为实现上述目的，本发明的技术方案是：一种融合控制业务逻辑的电网应用层指令级检测方法，针对电网应用层指令级检测，采用基于规则匹配的方法检测畸形报文和攻击报文，畸形报文规则根据协议规范进行设计，攻击报文特征库采用snort网络攻击规则库；针对业务特征值离散特点，提出一种基于聚类学习的异常检测技术，实现包括业务指令频次、业务特征码的异常识别。

3、在本发明一实施例中，所述采用基于规则匹配的方法检测畸形报文，即针对电网的特点，提取出能够识别协议行为的关键特征字段，与语法语义规则进行规则匹配，实现对的畸形报文的检测；畸形报文识别，是对不符合电网协议标准格式的报文进行分析和识别，其中协议异常检测包括消息头格式异常、消息结束格式异常、消息完整性错误、应用协议配置信息异常、应用服务数据单元异常的异常类型。

4、在本发明一实施例中，所述基于聚类学习的异常检测技术，即从电网网络报文中提取电网业务行为的特征值，使用聚类分析算法通过对这些特征值的学习，构建电网业务行为特征，具体如下：

5、①报文特征提取：在电网协议解析后的报文载荷中，提取系统业务行为特征值，包括业务指令频次、业务特征码的业务指令行为特征值；

6、②聚类学习：通过k-means聚类算法对业务指令行为特征值样本进行学习计算，使得同一类的业务指令行为特征被聚集到相同的聚类中，实现对业务指令行为特征的分类，形成多类业务指令行为聚类族；

7、③聚类判断：将实时采集的业务指令行为特征通过聚类算法进行计算，通过聚类算法使得同一类的业务指令行为被聚集到相同的聚类中，实现对业务指令行为的功能分类，形成多类业务指令行为集，包括：遥控命令、遥测命令、电能量召唤命令、远程参数读写、文件传输。

8、在本发明一实施例中，针对电网智能终端业务指令行为特征值聚类分析具体过程如下：

9、1）确定聚类分析对象：对电网智能终端不同业务指令频次、业务特征码进行聚类分析；

10、2）构造特征向量：构造针对业务指令频次、业务特征码的特征向量<ip，类型标识，传送原因，信息对象地址，单位时间业务指令频次>，五维特征向量表示某ip的电网智能终端单位时间内传送某类业务指令频次和业务特征码；

11、3）训练样本数据采集：采集正常网络数据样本流量，解析识别业务指令类型，并统计单位时间内出现频次；

12、4）构建四维训练向量集：根据五维向量结构，生成包含n个五维数据点的数据集x={x1,x2,…,xn}；

13、5）聚类并构建检测模型：k-means聚类算法将数据对象组织为k个划分c={ck,i=1…k}，每个划分代表一类ck，每个类ck有一个类别中心μi，选取欧氏距离作为相似性和距离判断准则，计算该类内各点到聚类中心的聚类平方和；

14、6）业务指令频次、业务特征码在线检测：利用训练阶段建立的正常业务指令频次、业务特征码模型对检测向量进行分类，如果检测向量不属于任何类族，则判断发生异常。

15、相较于现有技术，本发明具有以下有益效果：本发明提出融合控制业务逻辑的电网应用层指令级检测方法，通过分析提取电网智能终端业务报文协议特征，构造涵盖控制域、应用层功能码、指令方向、指令发送时间的特征向量。在此基础上，利用k-means聚类算法实现终端业务行为的分类，构建电网智能终端业务行为模型。结合电网终端业务指令，基于模型对业务指令进行实时比对，发现指令级攻击，实现指令级攻击的在线识别。解决了电网智能终端中大量规约指令级新型攻击识别难题。

技术特征：

1.一种融合控制业务逻辑的电网应用层指令级检测方法，其特征在于，针对电网应用层指令级检测，采用基于规则匹配的方法检测畸形报文和攻击报文，畸形报文规则根据协议规范进行设计，攻击报文特征库采用snort网络攻击规则库；针对业务特征值离散特点，提出一种基于聚类学习的异常检测技术，实现包括业务指令频次、业务特征码的异常识别。

2.根据权利要求1所述的融合控制业务逻辑的电网应用层指令级检测方法，其特征在于，所述采用基于规则匹配的方法检测畸形报文，即针对电网的特点，提取出能够识别协议行为的关键特征字段，与语法语义规则进行规则匹配，实现对的畸形报文的检测；畸形报文识别，是对不符合电网协议标准格式的报文进行分析和识别，其中协议异常检测包括消息头格式异常、消息结束格式异常、消息完整性错误、应用协议配置信息异常、应用服务数据单元异常的异常类型。

3.根据权利要求1所述的融合控制业务逻辑的电网应用层指令级检测方法，其特征在于，所述基于聚类学习的异常检测技术，即从电网网络报文中提取电网业务行为的特征值，使用聚类分析算法通过对这些特征值的学习，构建电网业务行为特征，具体如下：

4.根据权利要求3所述的融合控制业务逻辑的电网应用层指令级检测方法，其特征在于，针对电网智能终端业务指令行为特征值聚类分析具体过程如下：

技术总结
本发明涉及一种融合控制业务逻辑的电网应用层指令级检测方法。针对电网应用层指令级检测，采用基于规则匹配的方法检测畸形报文和攻击报文，畸形报文规则根据协议规范进行设计，攻击报文特征库采用成熟的snort网络攻击规则库；针对业务特征值离散特点，提出一种基于聚类学习的异常检测技术，实现业务指令频次、业务特征码等异常识别。

技术研发人员：张坤三,张永记,郭敬东,刘俊,罗富财,沈立翔,吴丽进,何金栋,郭蔡炜,纪文,郑原俊,林晋煌
受保护的技术使用者：国网福建省电力有限公司
技术研发日：
技术公布日：2024/1/15